Seite 1 von 1

comp-wurm-hilfe

BeitragVerfasst: Mi 12 Nov, 2003 09:29
von Hel
Hab letztens meinen Computer neu aufgesetzt und bevor ich noch irgendein virusprogramm, firewall oder sonstiges installieren konnte hatte ich schon den netten W32.blaster.worm drauf. Der fährt nach einer gewissen Zeit den Computer herunter. Hab mir infos und tool bei symantec geholt aber irgendwie will der wurm nicht weg.

Hab tool normal ausgeführt > nix
Hab das tool im abgesicherten modus gestartet > nix.
Hab über den Befehl "SERVICES.MSC /S" in RPC "First failure, Second failure, and Subsequent failures" geändert auf "Restart the service (Dienst neu starten)" > nix
Hab auch die Systemwiederherstellungsfunktion zeitweilig deaktiviert

Hat da wer Erfahrung bzw kann da wer helfen?

lg Hels

Bild

BeitragVerfasst: Mi 12 Nov, 2003 09:45
von chorshais dreadbrood
w32blast? lass mich raten... t-online kunde? Naja... whatever... windowsupdate hilft auf jeden fall 8)

BeitragVerfasst: Mi 12 Nov, 2003 09:48
von Dunkelzahn
Hehe ..

also:

1. Nicht der Wurm faehrt den Rechner runter - der Angriff schiesst Dir einen Prozess ab, welcher dann zur Folge hat, dass der Rechner runterfaehrt.

Was Du machen musst:

1. Vom Internet weg
2. Neu booten
3. MSBLAST.EXE oder aehnlichen Prozess abschiessen - Taskmanager
4. Systemwiederherstellung aus
5. MSBLAST.EXE (Oder Abart davon) löschen
6. AUTOSTART Eintrag in Registry entfernen
7. Rebooten
8. Systemwiderherstellung anmachen
9. Patch einspielen
10. Rechner wieder ans Netz ...

Bedeutet na klar den Patch davor auf die Platte zu kopieren oder auf CD zu haben.

Gruß

BeitragVerfasst: Mi 12 Nov, 2003 09:48
von Hel
nein chello und

Hab windows update gemacht allerdings installiert er die datein nicht. Also ich lade update runter und wenn fertig, schließt sich das Fenster und es passiert nix. *shrug*

BeitragVerfasst: Mi 12 Nov, 2003 09:52
von Naglafarn
Zwar scheinst du schon so weit zu sein, aber just for info:
Den Shutdown-Prozess kann man mittels Start -> Ausführen "shutdown -a" unterbinden.

Taugt das Symantec Tool nur bedingt viel.. ich bevorzuge die Stinger Variante von McAfee. Die findest du hier:
http://vil.nai.com/vil/stinger/

Ansonsten ist der Virus eigentlich nur genial weil er simpel gestrickt ist und System Resourcen nutzt die kein Virenscanner löscht, also wenn du dich traust:
1. Delete the msblast.exe file from your WINDOWS SYSTEM32 directory (typically c:\windows\system32 or c:\winnt\system32)

2. Delete the "windows auto update" value from
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

UND was gaaaaanz wichtig ist. Wenn du dir den Patch vom Microsoft nicht installiert hast, dann wirst du dir den Virus wieder geholt haben, bevor du ihn ganz removed hast. Also nutz die Windows Update Funktion,... und wenns schon nicht das SP1 sein darf (will gaaar nicht wissen warum), dann nehmt das hier:

Update Rollup 1 für Microsoft Windows XP (KB826939)
http://www.microsoft.com/downloads/deta ... 1602bd72c2

BeitragVerfasst: Mi 12 Nov, 2003 09:55
von Dunkelzahn
@Nagul:

Der Virus ist noch netter und nistet sich als Systemkomponente ein und wird vom System selber geschützt. D.h. löschst Du ihn ohne die Systemwiderherstellung zu deaktivieren, stellt die Dir den Virus ganz sauber wieder her :-)

Gruß

BeitragVerfasst: Mi 12 Nov, 2003 10:00
von Hel
danke für die infos :D finds toll, daß ich so nen genialen virus hab, vielleicht sollt ich ihn doch nicht löschen :lol:

BeitragVerfasst: Mi 12 Nov, 2003 10:22
von Naglafarn
Das macht nur der TFTP Prozess Schatten. :) War aber beliebte Solutions von Firmen die nicht schnell (oder wegen tollen Anwendungen durften) das Service Pack installieren wollten, bzw. den Patch. Der MSBlaster Patch macht nämlich nette probleme in Kombination mit W2K und Roaming profiles.

Also welche Lösungen macht man?
1. RPC Dienst deaktivieren (wenn man kann und darf, was in MS Netzen meist nicht geht).

2. Die TFTP.exe löschen. Diese sorgt nämlich für die Verteilung des Viruses und ist der Ursprung allen Übels. Leider installiert die sich jeder im /system32/ directory und wer die Systemwiederherstellung an hat (wer das in Firmennetzen macht gehört gewürgt und Privat sollte man lieber Images machen), der bekommt die Datein nach dem löschen gleich wiederhergestellt.


Wie habt ihr es dann bei euch eigentlich gelöst? Jeden Server einzeln gemacht?

BeitragVerfasst: Mi 12 Nov, 2003 10:34
von Dunkelzahn
Das schreib ich hier lieber nicht .. siehe PN :-)

BeitragVerfasst: Mi 12 Nov, 2003 11:18
von Fanorn
Naglafarn hat geschrieben:Taugt das Symantec Tool nur bedingt viel.. ich bevorzuge die Stinger Variante von McAfee.


Nuja, darüber kann man auch geteilter Meinung sein. Ich trau dem Mac Affen nicht weiter als ich ihn werfen kann ...

http://www.heise.de/security/artikel/41908/1

BeitragVerfasst: Mi 12 Nov, 2003 11:21
von Dunkelzahn
Ich bevorzuge Handarbeit *g*

BeitragVerfasst: Mi 12 Nov, 2003 11:59
von Pullox
Ist dieses Outing jetzt nicht ein bisschen Off-topic Schatten? ;)

MfG

BeitragVerfasst: Mi 12 Nov, 2003 12:58
von Dunkelzahn
Was Du gleich wieder denkst .. tststs .. wie kann man nur *g*